Đại diện Lenovo: Đã gỡ bỏ phần mềm độc hại trên máy tính Lenovo từ lâu

Mới đây, mạng xã hội Facebook tại Việt Nam đã tràn ngập một văn bản (chưa được xác thực) về lỗ hổng bảo mật trên các máy tính xách tay của Lenovo. Điều đáng chú ý, văn bản này chỉ ra những lỗi bảo mật trên laptop của Lenovo đã từng xuất hiện vào tháng 5/2015, về một phần mềm không thể xóa trên laptop người dùng.

Trong đó, văn bản này có đoạn:

"Bộ Công An: Khuyến cáo không sử dụng máy tính Lenovo trong Cơ quan Nhà nước

Ngày 7/12/2015 - Bộ Công an đã có thông báo về việc Lenovo cài phần mềm điều khiển trên máy tính sử dụng hệ điều hành Windows trước khi xuất xưởng.

Cụ thể, từ tháng 10/2014 đến tháng 6/2015, một số dòng máy tính của hãng Lenovo cài đặt sẵn phần mềm có tên “Lenovo Service Engine” (viết tắt là LSE) vào BIOS trên bo mạch chính của máy trước khi xuất xưởng.

Trong lần đầu tiên kết nối Internet, LSE sẽ tự động tải về máy tính phần mềm khác có tên "Onkey Optimizer".

Do LSE được tích hợp vào BIOS nên khi người sử dụng máy tính cài đặt lại hệ điều hành hoặc định dạng lại ổ cứng thì trong lần khởi động đầu tiên, hệ điều hành cũng sẽ tự động tìm lại phần mềm đó trong BIOS để thực thi".

Để làm rõ thông tin nói trên, chúng tôi đã có cuộc trao đổi nhanh với đại diện Lenovo. Đầu tiên, đại diện công ty công nghệ Trung Quốc khẳng định, từng đưa ra thông báo chính thức về vấn đề này từ cách đây nhiều tháng, thông qua trang chủ Lenovo. Bạn đọc có thể tham khảo tại đây.

Hướng giải quyết của Lenovo với vấn đề này?

Lỗ hổng bảo mật LSE, được phát hiện bởi một nhà nghiên cứu bảo mật độc lập,  có liên quan tới cách thức Lenovo sử dụng cơ chế Microsoft Windows trong tính năng Lenovo Service Engine (LSE) ở bản firmware BIOS được cài đặt trên một số mẫu máy tính người dùng của hãng. Các dòng máy hiệu Think hoàn toàn không bị ảnh hưởng bởi sự cố này.

Ngay khi lỗi này được phát hiện, với trách nhiệm công bố thông tin minh bạch, Lenovo đã phát hành bản cập nhật phần mềm firmware BIOS mới cho một số mẫu máy tính để bàn người dùng, giúp loại bỏ hoàn toàn lỗ hổng bảo mật này.  Bắt đầu từ tháng 6/2015, bản nâng cấp firmware BIOS mới đã được cài đặt trên tất cả hệ thống máy tính để bàn và máy tính xách tay người dùng mới do Lenovo sản xuất và chúng tôi đảm bảo rằng phần mềm LSE không còn được cài đặt trên bất cứ máy tính nào của Lenovo.

Ngoài ra, Lenovo cũng phát hành tài liệu Tư vấn Bảo mật Sản phẩm Lenovo (Lenovo Product Security Advisories) vào ngày 31/7/2015, thể hiện cam kết của Lenovo trong việc phát triển sản phẩm và dịch vụ luôn song hành với những tiêu chuẩn bảo mật cao nhất, giúp bảo vệ an toàn dữ liệu và khách hàng của mình. Người dùng quan tâm có thể tìm thấy hướng dẫn/giải pháp về vấn đề lỗ hổng bảo mật LSE cùng các lỗ hổng khác tại trang này, giúp họ có thể vá lỗi/gỡ bỏ những vấn đề này.

Các dòng máy của Lenovo bị ảnh hưởng bởi lỗ hổng bảo mật này?

Danh sách các dòng máy Lenovo bị ảnh hưởng như dưới đây (có thể có các máy tính không được bán chính thức tại Việt Nam, tuy nhiên nếu khách hàng mua máy ở nước ngoài và mang về Việt Nam sử dụng, thì vẫn được Lenovo Việt Nam hỗ trợ kỹ thuật):

Máy tính xách tay Lenovo:

- Flex 2 Pro 15 (Broadwell), Flex 2 Pro 15 (Haswell), Flex 3 1120, Flex 3 1470/1570

- G40-80/G50-80/G50-80 Touch

- S41-70/U41-70, S435/M40-35

- V3000

- Y40-80, Yoga 3 11, Yoga 3 14

- Z41-70/Z51-70, Z70-80/G70-80

Máy tính để bàn Lenovo (toàn cầu):

- A540/A740

- B4030, B5030, B5035 ,B750

- H3000, H3050, H5000, H5050, H5055

- Horizon 2 27, Horizon 2e(Yoga Home 500), Horizon 2S

- C260, C2005, C2030, C4005, C4030, C5030

- X310(A78), X315(B85)

Lenovo có khẳng định những dữ liệu được gửi về máy chủ Lenovo bởi phần mềm LSE này là không nhạy cảm?

LSE tự động gửi một vài dữ liệu hệ thống cụ thể về máy chủ Lenovo để giúp chúng tôi hiểu rõ các khách hàng của mình sử dụng sản phẩm của chúng tôi ra sao. Những dữ liệu này hoàn toàn không chứa các thông tin các nhân của người dùng. Dữ liệu bao gồm tên sản phẩm, tên vùng, thông tin cấu hình máy - gồm dung lượng bộ nhớ, mã SKU, model CPU, độ phân giải màn hình, dung lượng ổ cứng, card màn hình, phiên bản hệ điều hành. Những thông tin này được thu thập và gửi về máy chủ chỉ ở lần đầu tiên máy kết nối với internet.

Phía Lenovo có kế hoạch khắc phục gì về vấn đề này chưa?

Với trách nhiệm công bố thông tin minh bạch và đảm bảo người dùng yên tâm sử dụng sản phẩm, Lenovo Việt nam khẳng định đã có những phản ứng tức thì, và hết sức nghiêm túc với vấn đề này:

"Chúng tôi đã soạn một tài liệu hướng dẫn dễ sử dụng, bằng tiếng Việt để hướng dẫn khách hàng cách loại bỏ phần mềm LSE từ máy tính Lenovo mà họ đang sử dụng.

Cùng với các đối tác địa phương của mình, Lenovo đã gửi thư thông báo chính thức (kèm theo tài liệu hướng dẫn nói trên) tới những khách hàng mà đã mua sản phẩm của Lenovo thuộc diện bị ảnh hưởng, để đảm bảo rằng họ biết về vấn đề này và cách thức gỡ bỏ nó.

Chúng tôi cũng đã thành lập Nhóm Hỗ trợ Kỹ thuật chuyên trách vấn đề này gồm các chuyên gia kỹ thuật hàng đầu của chúng tôi, và sẵn sàng hỗ trợ xử lý, gỡ bỏ, hoặc nâng cấp BIOS mới (không còn phần mềm LSE) trực tiếp cho khách hàng của mình nếu họ không tự mình xử lý vấn đề được".